Клиентские интернет-счета будут привязаны к компьютерам и смартфонам

Клиентские интернет-счета будут привязаны к компьютерам и смартфонам

Решением Центробанка теперь банкам вменена в обязанность регистрация всех смартфонов и ноутбуков, принадлежащих их клиентам для совершения транзакций через Интернет. Клиенты лишаются возможности проводить операции с устройств, если они не зарегистрированы.

Так, 16 марта 2015 года началось действие новых требований ЦБ к банкам, направленных на борьбу с мошенничествами при дистанционном обслуживании клиентов. Банки обязаны совершать регистрацию всех устройств, с которых их клиенты заходят в системы Интернет-или- Мобильный банк. По задумке регулятора, клиент не сможет совершить ту или иную операцию с незарегистрированного телефона (ПК, планшета). Наряду с этим, банки должны будут заниматься блокировкой рассылки служебных SMS (одноразовых паролей и прочего), если клиент сменит номер или SIM-карту.

С новыми требованиями можно ознакомиться в Указании ЦБ № 3361-У.

Банк, основываясь на заявлении клиента, определяется с операциями, которые этот клиент может совершать через интернет- и мобильный банкинг. В то же время банк вправе установить список устройств, через которые можно получить доступ к системам ДБО, чтобы, например, перевести деньги, посредством идентификации этих устройств. Дополнительно банк имеет право на установление максимальной суммы совершаемого клиентом через ДБО перевода за одну операцию и (или) за конкретный временной период (1 день/1 месяц).

По мнению руководителя аналитического центра Zecurion Владимира Ульянова, было бы логично предположить, что идентифицирующее устройство, в данном случае, это МАС-адрес, являющийся уникальным идентификатором модема конкретного устройства, с которого пользователь заходит в Сеть. Но в идентификационных целях банки могут воспользоваться и IP-адресами клиентов. Можно – как вариант - взять информацию о конфигурации устройства для преобразования этого всего в некое число, уникальное для каждого гаджета. Вариантов – множество, но IP-адрес для идентификации клиентов не подходит категорически.

Меньше половины пользователей обладают статическими (постоянными) IP-адресами. У второй половины пользователей IP систематически изменяется, и привязка к нему бессмысленна. Если говорить об использовании MAС-адресов и конфигураций оборудования, то в этой идее разумное зерно, но и тут не без изъянов. И то, и другое на практике можно изменить, но они могут быть одинаковы у разных пользователей. Понятно, что этим воспользуются злоумышленники.

По словам Павла Крылова, руководителя направления по развитию продукта Group-IB, банки могут взять на вооружение использование IP-адресов, если они принадлежат клиентам-юрлицам, которые могут пользоваться выделенным публичным IP-адресом, тогда любой компьютер этой компании можно использовать при доступе в интернет-банкинг. Надежнее пользоваться MAC-адресом конкретного компьютера, но не все системы интернет-банкинга смогут в автоматическом режиме получать его с клиентского компьютера. Если говорить о физических лицах, то тут практика получения и использования идентификаторов отсутствует в силу их мобильности и того, что здесь, как правило, используются технологии «тонкого клиента». Исключение относится к мобильным приложениям, способствующим получению уникальных идентификационных данных устройства.

По мнению руководителя направления по борьбе с кибер-мошенничествами центра информационной безопасности компании «Инфосистемы Джет» Алексея Сизова, те же номера IMEI, которым, по сути, следует быть уникальными для каждого мобильного устройства, порой имеют 100%-е совпадение.

В Центробанке на запрос по этой теме ответить не смогли. Сегодня налицо присутствие некоторой неопределенности, новые требования исполняются банками, но на свое усмотрение — никто не требует, чтобы стационарные компьютеры были идентифицированы. По словам начальника управления безопасности информационных технологий СМП-банка Павла Головлева, банки заменили идентификатор устройств IP-адресами мобильных устройств и это их вполне устраивает.

Чтобы устройство, через которое клиент заходит в интернет-банк, было зарегистрировано, человек должен посетить банковский офис для написания соответствующего заявления. Если клиент решит сменить устройство, то ему также нужно будет прийти в банк для обновления информации об идентификаторе устройства. Если устройство потерялось — то алгоритм действий в этом случае совпадает с тем, который прописан на случай потере карты банка: уведомить банк о потере устройства и о блокировке операций, которые могут быть совершены с этого IP-адреса.

По словам Александра Новикова, директора департамента ДБО Бинбанка, сегодня в банке все вопроса, касающиеся безопасности и регистрации мобильных устройств решаются, в том числе посредством push-уведомлений — разовых паролей, приходящих на мобильные устройства, которыми подтверждаются операции.

Банк занимается рассылкой этих уведомлений клиентам напрямую, что повышает уровень безопасности. Любое мобильное устройство (телефон, планшет), если к нему подключены push-уведомления, отображается в браузере интернет-банка. Если клиент потерял мобильное устройство, он может сразу же зайти в интернет-банк, воспользовавшись любым компьютером и отредактировать список своих устройств. Понятно, что злоумышленникам не удастся им воспользоваться, чтобы получить пароль.

По словам начальника управления ДБО ВТБ24 Елены Дегтевой, банк решил приступить к сбору у клиентов пакетов информации о принадлежащих им устройствах. Оптимальный способ идентифицировать устройство клиента при работе через интернет - определить отпечаток системы — набор параметров, уникальных для этого устройства (device fingerprint). Если device fingerprint не совпадает, банк вправе направить запрос дополнительного подтверждения по операции, для чего можно позвонить клиенту по телефону, или отказать в проведении операции при безуспешном исходе дополнительной идентификации. Так же можно обновлять и базу устройств при их смене клиентом. Так можно выполнить требование Центробанка по идентификации клиентских устройств и значительно повысить уровень безопасности при работе по дистанционным каналам обслуживания. Этот путь выбрал ВТБ24.

Как считает Ульянов (Zecurion), если клиент меняет адрес, паспорт, контакты, он обязан уведомить банк, и когда он меняет компьютер, об этом тоже нужно сообщать. А пользователи, уже привыкнувшие к часто обращающимся службам поддержки банков по вопросам, связанным с подтверждением новых устройств, могут утратить бдительность.

Благодаря запуску новых правил, неизбежно столкновение с бумажными (вписывание идентификаторов в договор, внесение правок), так и с техническими проблемами вместе с увеличением расходов на ДБО, которые и сегодня ежегодно выливаются в миллионы рублей.

Банки столкнутся с технической проблемой по регистрации устройств и отслеживанию их использования. Клиенты – с проблемами в удобстве пользования интернет-банком ввиду ограничения доступности в ряде случаев. Дело в том, что атаки на банковских клиентов — это комплекс действий со множеством ходов. Одна атака направлена на уязвимость программного обеспечения, при другой используется социальная инженерия и выуживание логинов-паролей, фишинг-атаки. Допустим, троян, уводящий пароль, может скопировать системные параметры подобно банкоматному скиммеру с карты. Если запустить новые требования, злоумышленники могут изменить очередность своих действий и методов, но средства, которыми они пользуются сегодня, до сих пор опасны.

Если говорить о втором нововведении, ЦБ предписал приостанавливать отправку клиентам служебных сообщений, если банк узнал о смене клиентом SIM-карты, о том, что клиент прекратил обслуживать или сменил номер телефона, указанного в договоре с ним. Однако по словам представителей ряда крупных операторов (МТС, «МегаФон» и «ВымпелКом» («Билайн»), они не являются инициаторами отправки в банки данных о смене SIM-карт абонентами — с таким коммерческим продуктом для банков работает только «МегаФон». А закон, обязывающий операторов вступать в сотрудничество с банками, отсутствует, а собственно сведения, касающиеся клиентов, являются тайной, поэтому по данному требованию ЦБ есть много вопросов.

По мнению Алексея Сизова (компания «Инфосистемы Джет»), запуск новых требований может привести к существенному снижению доступности сервисов и услуг банков, а банкам добавится работы по взаимодействию с клиентами. К примеру, вы уехали за границу и приобрели уже на месте SIM-карту — тогда банк ограничит набор ваших возможностей в использовании сервисов ДБО, что – и это естественно - вас, как клиента, категорически не устроит.

Популярные темы
Все темы Автокредиты 34 акция 287 Аналитика 575 Антикризисный план 5 Аудиторы 4 Банкноты 7 Банковская гарантия 4 Банковские прогнозы 202 банковский кризис 436 Банкоматы 9 Банкротство 83 Бизнес-кредиты 48 Благотворительность 31 Валюта 64 Вклады 255 Выставки 13 Дебетовая карта 5 Денежные переводы 79 Долг 39 Доллар 17 Евро 6 Знаменательная дата 8 Инвестиции 5 Интернет-Банк 40 Ипотека 185 Карта "Мир" 6 кипр 11 Ключевая ставка 4 Коллекторы 12 Конкурс 22 Конференция 14 Кредитные карты 125 Кризис 22 Круглый стол 5 Курс валют 61 Лизинг 4 Ломбард 4 Льготы 4 Материнский капитал 4 Минфин 12 Мобильный банк 29 Монеты 4 Мошенничество 314 МФО 13 Налоги 11 Нефть 18 Новый закон 12 НПФ 6 Облигации 6 Обмен валюты 6 Обыск 4 Отзыв лицензии 14 Открытие нового офиса 13 Открытие офиса/филиала 8 Оффшорные банки 4 Ошибка банка 4 Пенсия 21 Потребительские кредиты 34 Пресс-релиз 2346 преступления 32 Призы/Награды/Премии 53 Рейтинг 298 Рубль 58 Санация 4 Семинары 5 Сотрудничество 242 Спонсорство 5 Страхование 22 Суд с банком 26 Фестиваль 6 Форум 39 Хакеры 12 ЦБ 136 Центральный Банк 20 Экономика 6 Юрлицам 7
Москва